CASB和SASE：有什么區別？

在過去十年中，企業主要關注網絡外圍防御，以及保護外圍內的用戶。同時，在遠程端，VPN是連接內部資產的關鍵方式，在大多數情況下，這會迫使遠程用戶通過公司的下一代防火墻發送所有流量。當企業試圖加速數字化轉型到云端時，VPN成為無法擴展的瓶頸。

在向云應用程序和數字化轉型的大規模轉變中，云訪問安全代理 (CASB) 應運而生。當用戶從企業外圍內訪問這些資產時，CASB旨在減輕圍繞云資產的風險。

有時，我們很容易將CASB視為發現和保護數據訪問的技術或功能的集合。有趣的是，當推出CASB時，他們的重點是加密靜態和傳輸中的數據。相比之下，用戶仍然駐留在企業的外圍內。CASB為云外圍提供了與本地外圍類似的檢查和安全級別。

很多企業使用CASB日志分析功能來識別影子IT。隨后，CASB供應商不斷改進他們的產品，添加數據丟失防護(DLP)、安全 Web 網關 (SWG) 和其他功能。

云計算、遠程工作催生新的網絡模式

在過去十年，云轉型加速。在2020年，COVID-19疫情帶來結構性轉變，迫使最終用戶離開辦公環境中的傳統本地網絡外圍，轉而在家工作。這一現實帶來對更成熟的架構模型的需求。

當用戶訪問云服務和企業外圍內的資產時，這里需要新的模式來保護用戶，無論用戶的物理位置如何，同時提供相同的網絡安全服務和控制。Gartner將這種模式命名為安全訪問服務邊緣(SASE)，發音同sassy。

從這個角度來看，CASB和SASE不一定是相互對立的。相反，SASE是CASB的自然演進過程，與其他功能一起發展為架構框架。SASE安全模型是端到端安全的藍圖。它將外圍安全與云安全相結合，結合嚴格網絡訪問控制（遵循零信任概念），并將CASB作為該模式的組件。

考慮到這個模式，并設想SASE架構圖，我們看到的關系不是CASB與SASE，而是SASE中的CASB。

云訪問安全代理功能

CASB和SASE的共同點是A代表Access（訪問）。讓我們看看訪問的定義，將其區分為公共可用資源和私有資源：

• 訪問企業的SaaS應用程序，例如Microsoft 365、Salesforce、代碼存儲庫或其他資產，這些應用程序可能運行在云端，作為即服務使用并需要用戶身份驗證；
• 訪問IaaS資源，以完成操作、維護和部署目的，這些資源位于云環境，例如AWS、Google Cloud Platform和Microsoft Azure。
• 訪問企業數據中心資產、HR系統和財務軟件，包括第三方或承包商遠程訪問。

CASB的主要目標之一是抵御對存儲在云端信息的未經授權訪問，以及降低此類數據泄露的風險。我們可以稱之為風險控制，而不只是純粹的安全控制。

在開發CASB時，它有三個目標：影子IT預防、加密，以及阻止將機密信息上傳到未經批準的云應用程序。另一方面，它也試圖控制非授權用戶對授權應用程序的訪問。CASB的另一個功能是識別敏感信息，并使用公司定義的策略來限制對這些數據的訪問，在某些情況下，使用用戶和實體行為分析。

安全訪問服務邊緣功能

在查看SASE的優勢時，最關鍵的功能之一是零信任網絡訪問 (ZTNA)。遠程工作人員使用它來訪問公司資源。同時，它們已通過身份驗證并獲得應用程序級別的訪問權限，支持和推動NIST Special Publication 800-207的想法。

在SASE的早期階段，軟件定義WAN (SD-WAN) 設備與SWG緊密耦合。這為擁有多個辦事處的企業提供了快速入門，并以更直接的方式控制和優化ISP鏈接。

隨著轉向在任何地方工作，很多SWG 供應商開發一種最終用戶客戶端，該客戶端在計算機上運行，使流量能夠以安全的方式路由到SWG供應商最近的存在點。在此配置中，最終用戶可以從相同的安全級別中受益，而不受位置限制。唯一的要求是互聯網連接。當用戶返回辦公室時，他們不必關閉客戶端，并保持相同的安全級別。

現在，SD-WAN設備的功能主要是連接公司位置；保護無法安裝客戶端的服務器和其他設備；并提供對無法遷移到云端的遺留系統的訪問。

同一個供應商提供SASE安全功能很有意義，這包括CASB、DLP、SWG和ZTNA等。這些供應商提供更好的流量路由、更少的排除、更好的監控和故障排除，以及最重要的是，單一管理平臺用于安全策略創建。這種整合可以減少安裝在客戶設備上的客戶端數量。它還可以實現更輕松的策略創建、故障排除、安全計劃的整體更好的指標，以及高層管理人員的可見性。

因此，Gartner定義了一個新的市場，稱為安全服務邊緣 (SSE)。SSE將所有安全組件集中在一起，不包括與網絡相關的元素，例如SD-WAN。SSE和SD-WAN一起將構成SASE模型。